Um pesquisador de segurança descobriu uma vulnerabilidade que deixou expostos os dados pessoais de 10.000 passageiros de trens do Reino Unido.
O C3UK fornece Wi-Fi gratuito para o Network Rail, que opera e mantém a infraestrutura ferroviária do Reino Unido, em estações em todo o Reino Unido. Mas, de acordo com o pesquisador Jeremiah Fowler, do Security Discovery, ele mantinha dados de passageiros em um banco de dados da Amazon Web Services sem proteção por senha.
O banco de dados continha cerca de 146 milhões de registros, incluindo nomes, datas de nascimento, endereços de e-mail e detalhes de planos de viagem, bem como dados de dispositivos e endereços IP. Os dados parecem ter sido coletados entre o final de novembro do ano passado e meados de fevereiro deste ano.
“Os registros que eu vi coletaram um perfil do usuário que incluía e-mails, faixa etária e motivo da viagem etc. Ao segmentar os usuários, eles poderiam tentar segmentá-los com anúncios baseados na idade relevantes, com base no questionário de login”, diz Fowler.
“Não está claro por quanto tempo o banco de dados wifi gratuito do C3UK foi exposto ou quem mais pode ter acessado os registros.”
Dados valiosos expostos
O C3UK protegeu o banco de dados imediatamente e emitiu uma declaração indicando que os dados não parecem ter sido acessados por nenhum ator malicioso e não continha senhas ou outros dados críticos, como informações financeiras.
No entanto, como Fowler aponta, ele poderia ter sido extremamente útil na criação de um ataque de phishing.
“A primeira coisa que as pessoas pensam é em spam, mas é muito mais perigoso. Muitas pessoas usam seu nome real como parte do endereço de e-mail e expõem ainda mais suas identidades pessoais”, diz ele.
“Nesse caso, qualquer pessoa com conexão à Internet pode ver em que estação o usuário estava, um carimbo de data e hora, anúncios que pode ter visto, o código postal em que vive e muito mais. Cada pequena informação é essencialmente uma peça de quebra-cabeça que pode ser usada para criar uma imagem maior do usuário.”
Paul Ducklin, um dos principais cientistas da Sophos, ressalta que os usuários frequentemente fornecem mais informações do que precisam.
“Na minha opinião, o acesso Wi-Fi gratuito não é um retorno interessante para a entrega do seu aniversário, que ainda é tratado como um fator de identificação por muitas organizações “, diz ele à Cybernews.
“Nesse caso, parece que a empresa ofereceu uma opção ‘não quero dar meu aniversário’, o que seria uma escolha sábia – você não precisa preencher campos opcionais em formulários da web, e a vida é muito mais simples se você os deixar em branco rotineiramente. ”
Não é a primeira vez que os bancos de dados da AWS são expostos por administradores que não conseguem protegê-los com senha. No ano passado, por exemplo, descobriu-se que a empresa de mídia mexicana Cultura Colectiva havia exposto 540 milhões de itens de dados de usuários do Facebook.
Implicações do RGPD
É preocupante o fato de o C3UK não ter informado os usuários ou o ICO (Information Commissioner’s Office), informando à BBC que isso ocorreu porque os dados não haviam sido realmente roubados e era improvável que tivessem sido explorados.
Pode ter sucesso nesse argumento. De acordo com o Regulamento Geral de Proteção de Dados (GDPR), as violações devem ser relatadas à OIC dentro de 72 horas após a descoberta – a menos que um risco para o público seja considerado improvável. No entanto, muitas organizações estão demorando muito mais.
Em seu GDPR: um ano depois do relatório do ano passado, a OIC comentou que “continua sendo um desafio para as organizações e as OPDs avaliarem e reportarem violações dentro dos prazos legais”.
